Giải pháp bảo mật cho nhóm ứng dụng cộng tác, hội họp trực tuyến đang bị tin tặc khai thác triệt để

16/04/2020


Trước tình hình dịch bệnh Covid-19 lây lan nhanh chóng, biện pháp giãn cách xã hội đã được triển khai trên nhiều nước cũng như tại Việt Nam. Từ đó, nhiều tổ chức/ doanh nghiệp đã áp dụng và phát huy phương cách làm việc trực tuyến, nghĩa là có thể làm việc ở bất cứ đâu (tại văn phòng, tại nhà,…) miễn có thể kết nối được vào internet, để duy trì việc vận hành và hoạt động của doanh nghiệp. Điều này cũng không ngoại lệ đối với các cơ sở giáo dục và đào tạo, với đặc thù tổ chức các khóa học cho các nhóm học viên từ số lượng vài chục cho đến vài trăm học viên. Trong các phần mềm dùng cho việc cộng tác, hội họp, giảng dạy trực tuyến hiện nay, Zoom và Microsoft Teams là hai giải pháp được sử dụng rộng rãi tại Việt Nam.

Trong thời gian gần đây, các vấn đề bảo mật, an toàn thông tin liên quan đến một trong hai phần mềm nói trên: Zoom, trở thành chủ đề “nóng” trên các phương tiện truyền thông và cộng đồng CNTT cũng như người dùng. Trung tâm An toàn Thông tin HPT (HSE), đại diện là anh Lê Quốc Bảo (Phó Giám đốc), đã kịp thời tổng hợp, đánh giá và đưa ra những khuyến nghị thiết thực cũng như nhấn mạnh vai trò và sự đóng góp để giải quyết những vấn đề này của HSE nói riêng và HPT nói chung như sau:

Trên kho ứng dụng Google Play, hiện Zoom đã đạt trên 28 triệu lượt tải về. Còn theo số liệu thống kê chính thức, Zoom hiện chiếm 20% thị phần toàn cầu về ứng dụng họp trực tuyến với hơn 12,92 triệu người dùng hoạt động hàng tháng, trở thành một trong những nền tảng họp trực trực tuyến phổ biến nhất hiện nay. Tại Việt Nam, Zoom Cloud Meetings hiện là ứng dụng được tải về nhiều nhất trên cả iOS và Android, được nhiều công ty, trường học sử dụng để phục vụ việc họp và học từ xa nhằm đối phó với đại dịch Covid-19. Số lượng người tham gia cuộc họp video hằng ngày trên các dịch vụ miễn phí và trả phí của Zoom đã tăng từ khoảng 10 triệu vào cuối năm 2019 lên 200 triệu ở thời điểm hiện tại, với hầu hết đều là miễn phí. Cũng chính vì độ phổ biến của ứng dụng Zoom càng khiến các tin tặc tranh thủ khai thác lỗ hổng bảo mật của ứng dụng này thông qua nhiều hình thức.

 
  1. Lộ thông tin người dùng - Information Leak (iOS): Đối với cơ chế “Login with Facebook” từ bộ SDK được tích hợp trong ứng dụng chạy trên thiết bị iOS nhằm hỗ trợ đăng nhập nhanh cho người dùng đã để lộ nhiều thông tin cơ bản trên thiết bị, phiên bản phần mềm đang sử dụng, địa chỉ IP. Zoom đã gỡ bỏ chức năng này sau khi tin đăng lên mạng 2 ngày.
  2. Vượt cơ chế xác thực Email - Forge Request: Lợi dụng cơ chế đăng nhập liên kết tài khoản FB mà các ứng dụng hay dùng để hỗ trợ nhanh cơ chế đăng ký tài khoản, khi tài khoản FB không phải được đăng ký từ Email thì Zoom cung cấp tính năng xác thực Email này, cơ chế bình thường của chức năng, tuy nhiên giữa bước gửi Email và xác nhận Email tồn tại lỗ hổng khiến cho kẻ tấn công có thể tự bản thân xác thực bất kỳ email (giả mạo yêu cầu) tới Zoom. Khi đó Hacker sẽ đăng ký các tài khoản dựa theo các Tên miền của doanh nghiệp (theo tên miền) đã đăng ký Zoom, trở thành thành viên của doanh nghiệp đó. Theo cơ chế này Hacker sẽ thấy toàn bộ danh sách người dùng đang sử dụng, và lợi dụng thông tin để tấn công Phishing người dùng. Lỗ hổng này đã được khắc phục ngay sau đó.
  3. E2E Encryption: Các cuộc họp video call & conference của Zoom có thể bị nghe lén do không sử dụng mã hóa giữa các thiết bị đầu cuối end-to-end (E2E) công bố ngày 31/03/2020. Khi hacker nghe lén các cuộc họp trên Zoom, hacker có thể ghi lại nội dung cuộc họp và sử dụng vào các mục đích trục lợi. Đặc biệt là tính năng này được Zoom cam kết trên trang chủ khi cung cấp dịch vụ.
  4. Zoom tồn tại lỗ hổng trong quá trình xử lý các UNC Path được gửi trong các cuộc trò chuyện (\\hacker.com\abc) dẫn đến việc lộ mật khẩu đã băm (NTLM hash) khi Windows thực hiện truy cập dưới hình thức Network Share. Hacker có thể gửi một đường link từ đó Zoom hiểu là sử dụng đường dẫn UNC (viết tắt: Universal Naming Convention or Uniform Naming Convention) và khi người dùng click vào để lợi dụng Zoom gửi chuỗi băm mật khẩu NTML Hash tới đường dẫn UNC đã gửi bởi Hacker, các thông tin được máy nạn nhân gửi thông qua giao thức SMB đi ra tới máy Hacker (giao thức này hoạt động trong mạng LAN và gần như bị chặn hết ở đầu ISP), kịch bản tấn công khi Hacker ở cùng mạng với nạn nhân.
Để tránh lộ thông tin này người dùng không nên click vào những đường link lạ trên các nhóm chat trên Zoom. Nếu cần mở link thì nên mở link trên tab ẩn danh của trình duyệt.
  1. Mối liên quan giữa mã hóa, Zoom và Trung Quốc: Các nhà nghiên cứu chỉ ra rằng Zoom sử dụng cơ chế mã hóa (toàn bộ cuộc gọi, chứ không phải E2E) bằng thuật toán AES với cơ chế sử dụng là ECB (ECB là cơ chế mã hóa kém an toàn). Đồng thời các máy chủ lưu trữ Key được đặt tại Trung Quốc với hơn 700 chuyên gia, nhà phát triển phần mềm làm việc tại đây.
Khuyến nghị với người dùng:
  1. Luôn cập nhật phiên bản mới nhất của ứng dụng để được cập nhật các bản vá lỗi chính thức từ Zoom.
  2. Thiết lập mật khẩu cho cuộc gọi (6 số ngẫu nhiên) để có thể ngăn chặn kẻ tấn công có thể truy cập vào cuộc gọi mà không cần chứng thực.
  3. Kích hoạt tính năng phòng chờ để ngăn người dùng tham gia cuộc họp cho đến khi có sự cho phép của chủ phòng (host).
  4. Không chia sẻ ID cuộc họp ngoài những người được quyền tham gia cuộc họp.
  5. Kích hoạt tính năng khóa cuộc họp khi đã đủ người tham gia.
  6. Luôn cảnh giác với các link được gửi đính kèm trong ứng dụng Zoom.”
(Các nội dung trên trích từ Bài phân tích của anh Lê Quốc Bảo)
Ngoài ra, Trung tâm An toàn thông tin HPT với hệ thống Giám sát an toàn thông tin thế hệ mới (HSOC) được trang bị công nghệ tiên tiến kết hợp chặt chẽ giữa con người – quy trình – công nghệ - trong việc thu thập dữ liệu nguồn, làm giàu dữ liệu theo dấu hiệu tấn công (IOC) kết hợp với thông tin tình báo quốc tế và khu vực (Threat Intelligence), hỗ trợ tự động hóa thực hiện quy trình xử lý, quản lý vòng đời các sự cố An toàn thông tin (ATTT) – sẽ mang đến sự an toàn cao, luôn được cập nhật cho hệ thống mạng và thông tin, dữ liệu (kể cả những thông tin trên các công cụ làm việc trực tuyến) của tổ chức/ doanh nghiệp, duy trì giám sát đảm bảo 24x7 nhằm giảm thiểu tổn hại ở mức thấp nhất. Hỗ trợ tăng cường bảo mật từ Trung tâm An toàn thông tin HPT sẽ góp phần giúp doanh nghiệp/ tổ chức an tâm ứng dụng công nghệ mới để làm việc trực tuyến ở bất cứ nơi đâu, với trọn gói dịch vụ miễn phí như:

 
hpt-khuyen-nghi-ATTT.jpg

Song song đó, Trung tâm An toàn thông tin HPT cũng sẵn sàng hỗ trợ tư vấn về an toàn thông tin khi tổ chức/ doanh nghiệp phát hiện các bất thường (như bị nhiễm mã độc, có dấu hiệu hệ thống bị tấn công).
 
HPT-khuyen-nghi-An-toan-thong-tin-(1).jpg
Đối với giải pháp Microsoft Teams, gói giải pháp đang được Microsoft – Đối tác chiến lược của HPT – hỗ trợ tổ chức/ doanh nghiệp sử dụng miễn phí trong vòng 6 tháng, HPT cũng có gói hỗ trợ kỹ thuật miễn phí đồng hành cùng Microsoft giúp tổ chức/ doanh nghiệp yên tâm sử dụng mà không lo ngại lỗi kỹ thuật có thể làm gián đoạn quá trình sử dụng. Tuy nhiên, với kinh nghiệm chuyên môn của mình, HPT cũng dự đoán rằng với sự phổ biến và tín nhiệm của giải pháp này đang tăng cao sẽ có thể thu hút các tin tặc tiếp tục khai thác mạnh các lỗ hổng của ứng dụng trong thời gian sắp tới. HPT sẽ tiếp tục theo dõi, đánh giá và cập nhật sớm nhất những khuyến nghị dành riêng cho việc ứng dụng giải pháp này trong tổ chức/ doanh nghiệp trong các báo cáo sắp tới.